Материалы курса В. И. Королёва / Лекция 13

Лекция 13 (29.11.17)

Невосприимчивость к заражению вирусами

Для биологических систем существует понятие иммунитета – способность противодействия заражению организма вирусом и причинения ему вреда. Методы создания своеобразного иммунитета существуют и в компьютерной вирусологии.

Одной из причин широкого распространения компьютерных вирусов является стандартизация программного обеспечения компьютерных и телекоммуникационных сред. Вирусы активно используют:

1. стандартную систему прерываний;

2. общепринятую маркировку исполняемых файлов;

3. единую структуру организации хранения данных.

Целенаправленное, временное на период неактивного состояния программ, изменение этих компонентов сделает систему нестандартной, и, следовательно, вирус, использующий стандартные уязвимости, не сможет заражать и размножаться в изменённой среде.

Прививки.

Иммунитет можно создать и за счёт так называемых прививок.

Большинство вирусов не заражает повторно уже заражённую программу. При этом вирус проверяет своё наличие в программе (или в оперативной памяти в случае резидентного вируса) по определённому, принадлежащему только ему признаку.

Признаки:

уникальный набор символов (идентификация вируса);

наличие нестандартного прерывания (для резидентных вирусов).

Если признак для известных вирусов заранее уже внесён в программу, хотя на самом деле программа не заражена, то такая программа воспринимается вирусом как инфицированная, и заражения не происходит.

Вакцинация.

Невосприимчивость к заражению вирусом можно добиться и процедурой вакцинации.

Создаётся специальная программа-вакцина, которая внедряется в защищаемую программу, как часть её подобно вирусу, и запоминает ряд характеристик этой программы.

Характеристики:

длина некоторых исполняемых модулей;

последовательность машинных слов в окрестности точки входа в программу;

вычисление и запоминание контрольной суммы программы и т.д.

При запуске защищённой программы первой получает управление программа-вакцина (сразу или после вируса, если защищённая программа заражена, но не испорчена).

Программа-вакцина проверяет текущее состояние исполняемой программы и предпринимает в случае её заражения предписанные действия:

выдаёт сообщение о заражении;

осуществляет восстановление заражённой программы и т.д.

Защита от вирусов в статике процессов

Относящиеся к данному виду антивирусной защиты комплексы программ предназначены для обнаружения вирусов в программных продуктах и отдельных программах.

Они используются:

перед тем, как программы впервые внедряются в компьютерные системы;

для тестирования самой компьютерной среды на наличие вирусов перед её функциональной активизацией;

в случае возникновения нештатных ситуаций, подозрительных с точки зрения возможного заражения.

Их запуск осуществляется по инициативе пользователя или администратора безопасности.

Задача обнаружения заражения вирусами – наиболее важная проблема в антивирусной борьбе. В общем случае она решается двумя способами:

обнаружение изменений в программных кодах;

обнаружение признаков конкретных вирусов в программах до начала их работы.

Основные виды антивирусных программ

1. Программы-ревизоры

2. Программы детекторы и фаги

3. Программы-детекторы

Защита от вирусов в динамике процессов

Предотвратить нежелательные действия вируса (репродуцирование, разрушения) в ходе функционирования АС можно, используя различные меры ограничения и изоляции:

1. защиту от записи;

2. разделение на логические диски;

3. защиту от НСД и т.д.

Однако, из-за недостаточной надёжности этих методов: 1) разрабатывают специализированные программы-мониторы; 2) реализуют технико-методические решения при построении АС в целом.

Виды программ:

1. Программы-сторожа; 2) Интеллектуальные антивирусные методики и средства; 3) Демилитаризованные зоны

Организационно-правовые меры

Организационные меры включают в себя создание необходимых условий и процедур по разработке, внедрению и безусловному выполнению нормативных положений, касающихся антивирусной политики, непосредственно в АС и в целом на объекте информатизации.

Антивирусная политика на объекте информатизации

Для АС и в целом для объекта информатизации разрабатывается общесистемный нормативный документ – антивирусная политика.

Антивирусная политика:

1. определяет состав, конфигурацию и регламент использования программно-технических антивирусных средств;

2. включает в себя требования для пользователей и администраторов АС в отношении выполнения своих функций и своего поведения, предотвращающего возможность заражения системы вирусами;

3. определяет действия в случае заражения системы вирусами (или появляющихся подозрительных с точки зрения возможного заражения вирусами инцидентов).

Организационно-административная составляющая антивирусной политики

Прежде всего, пользователи должны знать основные внешние признаки возможного наличия вирусов. К ним можно отнести следующие проявления работы системы:

медленная работа компьютера;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

изменение даты и времени модификации файлов;

изменение размеров файлов;

неожиданное значительное увеличение количества файлов на диске;

существенное уменьшение размера свободной оперативной памяти;

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

частые зависания и сбои в работе компьютера и другие.

Не обязательно причиной проявление каждого из перечисленных проявлений является заражение системы вирусами, но, прежде всего, в системе должна быть осуществлена проверка на заражение её вирусами.

При формировании антивирусной политики основными являются следующие правила:

1. Информирование всех пользователей системы об опасности и возможном ущербе в случае вирусных атак;

2. Запрещение сотрудникам объекта информатизации использования программ «со стороны» без предварительного тестирования на наличие вирусов перед непосредственной их установкой в систему. Для этого должна быть создана специальная служба;

3. Запрещение пользователям системы хранить в системе и использовать компьютерные игры (если такое запрещение не может быть обеспечено, то создать общий подконтрольный игровой файл, в котором хранить программы для использования);

4. Обеспечение регулярного просмотра хранимых в системе файлов и использование защиты «только чтение» для предупреждения изменений в данных;

5. Дублирование всех важных программ и данных на специально выделенных для этой цели отчуждаемых носителях, хранение их в зашифрованном/архивированном виде с защитой «только чтение»;

6. Применение специальных антивирусных средств для обнаружения вирусов и предотвращения их опасных действий. Любые программы и драйверы, которые используются в системе, перед первым запуском обязательно проверять на наличие вирусов программами-детекторами;

………………………………

ИТОГИ:

Анализ методов и средств борьбы с компьютерными вирусами позволяет заключить – абсолютная защита может быть достигнута только безусловной изоляцией системы, что, естественно, на практике является неприемлемым решением.

Для приемлемой защиты от вирусов могут быть использованы те или иные из рассмотренных выше методов и способов обнаружения компьютерных вирусов и предупреждения их разрушительного воздействия.

Анализ общесистемного состояния показывает – в настоящее время любая автоматизированная система общего назначения открыта, по крайней мере, для ограниченной вирусной атаки, причем вирусы легко создаются и быстро распространяются в компьютерной и телекоммуникационной среде.

В этих условиях как достаточно надежная предпосылка безопасности любой компьютерной системы – это обеспечение контроля ее целостности при информационном и транзакционном взаимодействии с внешней средой.